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(57) Abstract: The invention relates to a method for diagnosis of functional faults in a functional architecture, comprising a unit of 
functions connected to electronic components (A" j; XJCE^; B), producing and using data, at least one datum of v^^hich (Xi) can 
adopt a fixed pre-determined value (xjp), following the occurrence of an eironeous functioning of at least one of the components (A"i; 
C"i;UCEn;B) of said unit The method is characterised, whilst having a unit of functions and carrying out a function for which the 
input and output data can be assigned to sensors or actuators, by comprising a determination step for particular values during which 
the particular values corresponding to functional faults for the sensors and actuators are listed and a diagnostic step during which the 
functional diagnostic for said function as a function of the lists determined during the determination step is generated. 



(57) Abrege : Llnvention conceme un proc^6 de diagnostic de d6fauts de fonctionnement d'une architecture fonctionnelle compo- 
s6e d'un ensemble de fonctions li^es k des composants 61ectroniques (A°i;C"i; UCEn; B), produisant et consonunant des donn&s, au 
moins une desdites donndes (Xi) £tant susceptible de prendre une valeur paiticuli^re (Xip) pr^d^terminte, cons6cutivement k I'appari- 
O tion d*un d6faut de fonctionnement de I'un au moins des composants (A^; C"i;UCE„;B) 
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— avant Vexpiration du dilcd pr^u pour la modification des En ce qui conceme les codes d, deux lettres et autres abrevia- 
revendications, sera republiee si des modifications sont re- tions, se rSferer aux "Notes explicatives relatives awe codes et 
gues abreviations'* figurant au dibut de chaque numSro ordinaire de 

la Gazette du PCT. 



dudit ensemble, ce pix>c^6 6tant caract^rise en ce que, 6tant donn6 un ensemble de fonctions, r6alisant une prestation, dont les 
donn^es d'enti^es et de sorties peuvent Stre li6es k des capteurs ou des actionneurs. il compoite - une 6tape de determination de 
valeurs particuli^res au couis de laquelle on liste les valeurs paiticuli^s coirespondant ^ des d6fauts de fonctionnement des capteurs 
et des actionneurs, - une ^tape de diagnostic au cours de laquelle on forme le diagnostic fonctionnel de ladite prestation en fonction 
des listes issues des Stapes de determination. 
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Precede de diagnostic de defauts de fonctioxmement 
d'tuie arcbitecture fonctioxmelle 

La pr^sente invention est relative k am proc6d6 de 
5 diagnostic de defauts de fonctionnement d'une architecture 
fonctionnelle. Ladite architecture peut §tre composee d'lHi 
ensemble de fonctions li^es k des composants 6lectroniques 
(A'^i; C^i;UCEn;B) , produisant et consoiranant des donnees, au 
moins una desdites donn^es (xi) ^tant susceptible de 

10 prendre una valeur particuliera (xip) pr^detarmin^e, 
cons^cutivament a 1^ apparition d'un defaut de 
fonctionnement de I'un au moins des composants (A^i; 
c'^ijUCEn/B) dudit ensemble. 

On connait des ensembles de systemes 61ectroniques de 

15 ce type, congus notamment pour 6quiper des v6hicules 
automobiles. Un tel v^icule comprend couramment plusieurs 
syst^es assurant chacun 1' execution d'une prestation telle 
que la commande du moteur propulsant le v^icule, la 
gestion de la climatisation de I'habitacle, la gestion des 

20 liaisons du v^hicule au sol (freinage, suspension...), la 
gestion de communications t^l^phoniques . 

On a schematise k la figure 1 du dessin annex6 les 
composants materiels de 1' ensemble de ces syst^es, par 
exemple pour vehicle. Ces composants coraprennent 

25 essentiellement des unites de commande electroniques ou 
"calculateurs" UCEm/ chaque calculateur 6tant 
^ventuellement connect 6 a des capteurs C^i et k des 
actionneurs A°^j, tous les calculateurs 4tant coimect^s k au 
moins un m&ne bus B poxir y 6mettre ou recevoir des 

30 informations par exemple multiplexdes , en provenance ou k 
destination des autres calculateurs connect^s au bus B. 

Ce multiplexage est obtenu notamment, comme cela est 
bien connu pour le bus CAN par exemple, en introduisant les 
informations en cause dans des messages materialises par 
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des trames de signaux nuiaeric[ues . 

A titre d'exemple illustratif/ le systeme S2 de 
"commande du moteur" comprend le calculatexir UCE2, 
plusieurs capteurs C^i sensibles ^ des grandeiirs telles que 
5 le regime du moteur, a combustion interne par exencple, la 
pression au collecteur d' admission de ce motexir, la 
pression de I'air ext^rieur, la temperature de I'eau de 
refroidis semen t du moteur, celle de I'air, l'6tat de charge 
de la batterie, et plusieurs actionneurs A^j . Le 

10 calculateur UCE2 est dOment programme pour ex^cuter 
plusieurs fonctions de commande du moteur telles gaie : la 
regulation de ralenti, la regulation de la richesse du 
melange air/carburant, le reglage de I'avance k I'allumage 
de ce melange et la recirculation des gaz d " echappement . 

15 Pour ce faire le calculateur UCE2 exploite des informations 
venues des capteurs C^i precites et eiabore des signaux de 
commande des actionneurs A^j constitues par une vanne de 
commande d'air additionnel et une bobine d'allumage de 
bougie pour la fonction "regulation de ralenti", un 

20 injecteur de carburant pour la fonction "regulateur de 
richesse", la meme bobine d'alliomage pour la fonction 
"avance de I'allumage" et une vanne pour la fonction 
"recirculation de gaz d ' echappement " . 

Les autres "prestations" evoguees ci-dessus, e.g. 

25 "climatisation de I'habitacle" et "liaison avec le sol", 
sont executees par des systemes d* architecture analogue ^ 
celle presentee ci-dessus pour la commande du moteur. 

Tous ces systemes mis en communication par un meme bus 
B constituent un reseau multiplexe. On congoit alors que 

30 plusieurs fonctions relevant de systemes differents peuvent 
exploiter des informations issues de memes capteurs, par 
exemple, ce qui evite de couteuses redondances dans la 
structure de 1' ensemble des systemes. utilisation d'un 
reseau multiplexe permet aussi de reduire de mani^re tres 

35 important e la longueur des lignes eiectriques 
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interconnectant les diff brents elements de 1 ■ ensemble. Un 
tel ensemble multiplex^ pejrmet aussi la mise en place de 
fonctions non classiques et 6ventuellement complexes, 
faisant intervenir parfois plusieurs syst^es et dites po\ir 
5 cette raison " transversales " . A titre d'exeinple illustratif 
et non limitatif, la perception de 1 • information "sac d'air 
(ou "airbag") d6clencli6" , significative de ce que le 
v^icule a s\abi un choc, peut §tre trait^e alors de maniere 
h commander I'^ssion d'un appel au secours par un 
10 dispositif de t6l6phonie mobile embarque dans le v^icule. 

un autre etape de la conception des syst^es 
6lectroniqaes est 1' analyse de sCret^ de f onctionnement qui 
consiste h identifier des 6v6nements redout^s tels qu'un 
pneu qui delate, un d^faut de f onctionnement d'un capteur 
15 essentiel sur lane fonction critique, vm d^faut de 
f onctionnement d'un actionneur par exemple de freinage, 
afin d'amdliorer la s6curit6 et de specifier des modes 
d^grad^s de f onctionnement si n^cessaire. 

On note qu'ian systdme s(ire de f onctionnement est un 
20 syst^me qui, d'\ine part diagnostique certains ev^ements 
redout^s afin de mettre en oeuvre des modes de 
f onctionnement d^rad^s et d' autre part est tolerant aux 
6v^ements redout6s non diagnostiqu^s selon 1' analyse de 
sCiret^ de f onctionnement . 
25 On connalt de la demande de brevet frangais 01 

15819, d^os^e par la demanderesse et incorpor^e ici par 
r^f^ence, la notion de valeur particuli^re et son 
utilisation dans un proc6d6 de diagnostic de d^fauts de 
f onctionnement d'lon ensemble de syst^es 61ectroniques . 
30 Cependant, ce dit precede ne s' applique qu'^ xan mode 

de realisation donn6 d'xone architecture fonctionnelle et ne 
peut pas §tre reutilis6 poiir vaa. autre mode de realisation. 

La demanderesse a d^couvert que les valeurs 
particuli^res pouvaient ^tre class^es en categories de 
35 telle maniere que I'on puisse sepsirer des valeurs 
particulieres, dites f onctionnelles , independantes du mode 
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de realisation par une architecture mat^rielle et des 
valeurs particulieres dites op^rationnelles , specif iques au 
mode de realisation par des calculateurs , bus de 
coininuni cation, et cablage. 
5 La demanderesse a aussi d^couvert que les differentes 

categories de valeurs particulieres etaient liees en ce que 
une valeur particulidre au niveau fonctionnel entraine la 
creation de valeurs particulieres au niveau operationnel . 
De la m&ae maniere, partant d'line analyse operationnelle, 

10 on peut deduire une analyse fonctionnelle qui pourra ^tre 
re-applique sur d'autres modes de realisations. 

De cette maniere on repond au probieme cite ci-dessus 
par un precede de diagnostic de defauts de f onctionnement 
d'lone architecture fonctionnelle coinposee d'un ensemble de 

15 fonctions liees k des composants eiectroniques (A^i; C^i; 
UCEn/- B) , produisant et consommant des donnees, au moins 
une desdites donnees (xi) etant susceptible de prendre une 
valeur particuli^re (xip) predeterminee, consecutivement k 
1' apparition d'lan defaut de f onctionnement de I'un au moins 

20 des composants (A^i; C^i; UCEn; B) dudit ensemble, ce 
precede etant caracterise en ce que, etant donne un 
ensemble de fonctions, realisant lone prestation, dont les 
donnees d' entrees et de sorties peuvent §tre liees a des 
capteurs ou des actionneurs, il comporte : 

25 - une etape de determination de valeurs particulieres 

au cours de laquelle on liste les valeurs particulieres 
correspondant a des defauts de f onctionnement des capteurs 
et des actionneurs, 

- une etape de determination de propagation au cours 
30 de laquelle on liste les valeurs particulieres permettant 

la propagation de 1 • information relative k ces defauts k 
travers les dites fonctions, 

- une etape de diagnostic au cours de laquelle on 
forme le diagnostic fonctionnel de ladite prestation en 

35 fonction des listes issues des etapes de determination et 
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- line 6tape d'enregistrement des valeurs particuli^res 
et de leur propagation sur un moyen de memorisation poiir iin 
outil pr^vu pour la validation de ladite architecture, 

De cette mani^re on d^finit un diagnostic fonctionnel 
5 independant du mode de realisation et done r^utilisable 
pour plusieurs modes de realisation des fonctions par les 
calculateurs et bus. Le diagnostic est congu avant le choix 
d'une architecture materielle (calculateurs et bus) pouvant 
I'accueillir, ce qui permet de gagner du temps dans sa 
10 conception. II sera comprise que le terme composants 
eiectroniques couvre tous composants electronicjues et 
electriques produisant et consommant des donnes. 

Selon une caracteristique particuliere, aprds I'dtape 
de diagnostic fonctionnel, etant donne le choix d'un mode 
15 de realisation se traduisant par 

une architecture materielle 

constituee de calculateurs, reseaux, liaisons 
filaires et connecteurs, 

et le placement des fonctions sur 
20 ladite architecture materielle, 

on liste les valeurs particuli^res selon le precede de la 
revendication 1 afin de deduire un diagnostic operatioimel 
de 1 ' architecture electrique-eiectronique resultante. 

De cette mani^re, le diagnostic pour ion placement est 
25 genere, au moins en partie, automat iquement • 

Selon d'autres caracteristiques, les valeurs 
particulieres sont classifiees apr^s placement des 
fonctions sur ladite architecture materielle 

Selon d'autres caracteristiques, les valeurs 
30 particulidres sont classifiees apres placement des 
fonctions sur ladite architecture materielle parmi au moins 
\ane des classes suivantes : 

bus coupe, 
trame corrompue, 
35 - court-circuit applique un fil. 
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faux contact appliqu6 a iin connecteur de 
faisceaiax, de capteiir, d • actioxineur ou de 
calculatexxr, et 

defaut d' execution appliqu^ k un micro- 
5 contr6levLr, 

De cette maniere, le diagnostic apr^s placement est 
g^n^re automatic[uenient par categories et le concepteur peut 
ne pas specifier le diagnostic de certaines categories, 
parce qu'elles sont plus fiables par exemple, afin de 
10 r^duire le cout de conception. 

Notons que le fait d'^carter \ine seule cat^gorie, par 
exemple les court-circuits, permet iirrplicitement de la 
diagnostiquer puisque si un defaut ne provient d'aucune des 
autres,. les d^fauts de ladite categorie restent les seuls 
15 candidats k 1 ' explication d'xm probl^e. 

Selon des caract^ristiques particuli^res 6tant donn^ 
un diagnostic operationnel , pour une prestation, ayant 
list6 les valeurs particuli^res fonctionnelles relevant des 
capteurs, actionneinrs et fonctions r^alisant ladite 
20 prestation, poxir au moins un flot de donn^es entre deux 
fonctions, ou entre un capteur et une fonction, ou entre 
une fonction et un actionneur, pour lequel aucune valeur 
particuli^re fonctionnelle n'est d^finie, si \ine valeur 
particuli^re op^rationnelle est definie, alors on determine 
25 automatiquement une valeur particuli^re fonctionnelle 
nouvelle pour ce flot, 

De cette manifere, 6tant donne le diagnostic du 
placement d'xme arcliitectiire fonctionnelle, on deduit un 
diagnostic fonctionnel de ladite architecture fonctionnelle 
30 qui peut s'appliquer k d' autres placements. 

Selon des caract^ristiques particuli^res, on vise un 
proc6d6 de diagnostic caract6ris6 en ce pour chaque dtape 
de la revendi cation 1, on liste non seulement les valeiirs 
particuli^res , mais aussi les ev^nements redout^s non 
35 diagnostiques et les 6v6nements redout^s non 
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diagnosticables povir former une analyse de sflret^ de 
fonctionnement d'une architectiire f onctionnelle . 

De cette manidre, 1' analyse de surete de 
fonctionnement peut etre rdalisee, au moins en par tie, 
avant qu'un mode de realisation par des calculateiirs et 
r^seaxax ne soit choisi. 

Selon des caract6ristiques part iculi feres , on vise xm 
proc6d6 de diagnostic caract6ris6 en ce <iue , 6tant doim.6 
le choix d'un mode de realisation se traduisant par 

vine architectiire mat^rielle 

constitute de calculateurs , riseaixx, liaisons 
filaires et connecteurs, 

et le placement des fonctions sur 
ladite architecture mattrielle, 
15 on liste les valeurs particuliferes et tv^nements redout6s 
selon le precede de la revendication 5 af in de dtduire une 
analyse de siirete de fonctionnement fonctionnelle de 
1 ' architecture fonctionnelle resultante. 

De cette manifere, 1' analyse de siirete de 
20 fonctionnement peut, au moins en partie, §tre g^6r6e 
automatiguement . 

Le proc6de peut conqprendre une ttape d' analyse de la 
faisabilite et/ou faillibilitt de fonctionnement dudit 
architectiire et de la dtablissement d'une sortie indiquant 
25 ladite faisabilitt et/ou f aillibilitt. 

La prtsente invention foumit aussi un sarticle de 
commerce coraportant une mtmoire lisible par un ordinateur, 
un programme executable par \m ordinateur etant enregistre 
sur ladite mtmoire pour le diagnostic de dtfauts de 
30 fonctionnement d'une architecture fonctionnelle, 
caracterise en ce que ledit programme inclut un codage 
pour: 

i) determiner et lister des valeurs particulieres 
correspondant k des defauts de fonctionnement des capte\irs 
35 et des actionneurs. 
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ii) determiner et lister les valeiors particuli^res 
permettant la propagation de 1 • information relative a ces 
defauts h travers ladite architecture fonctionnelle, 

iii) former le diagnostic fonctionnel de ladite 
5 prestation en fonction des listes issues des Stapes (i) et 

(ii) et 

iv) enregistrer lesdites valeurs particulieres et leur 
propagation sur lan moyen de memorisation pour un outil 
pr6vu pour la validation de ladite architecture. 

10 La pr6sente invention foumit aussi un outil 

informati<iue programme pour le diagnostic de defauts de 
fonctionnement d'une architecture fonctionnelle utilisant 
des Stapes du proc6d6 de la pr^sente invention ou programme 
en utilisant un article de commerce de la pr^sente 

15 invention. 

Ledit architecture pent comporter ixn architectoore pooor 

^quiper un v^icule. 

D'autres buts, caract^ristiques et avantages de la 
pr^sente invention apparaitront h. titre d'exeraple k la 
20 lecture de la description qui va suivre et k I'examen du 
dessin aixnex6 dans lequel : 

la figure 1 est un schema d'un ensemble de 
syst^es eiectroniques qu'on se propose de doter 
de moyens de diagnostic de defauts de 
25 fonctionnement suivant la pr6sente invention, cet 

ensemble 6tant d^crit dans le pr^ambule de la 
pr^sente description et, 

la figure 2 est vn schema illustrant un type 
de placement d'xine fonction sur \ine architecture 
30 mat^rielle 

En figure 2, la fonction "Calcul vitesse roue" 405 
consomme une donn^e brute "V" 403, provenant du capteur 
"Vitesse roue" 401. Un diagnostic de la donnee V peut dtre 
determine k partir d'une information provenant du capteur 
35 "Vitesse roue" 401 ou par ua filtrage en entree de la 
fonction "Calcul vitesse roue" 405. Supposons que ce 
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diagnostic soit d^tentiine par une valeur particuliere de 
"V" 403, par exemple la valeur particuliere "Vpart" de "V", 
Dans la figure 2, dans von mode de realisation 
particulier, le capteur vitesse 420 est rattache a un 
5 calculateur 436 et la fonction "Calcul vitesse roue" 405 
est realis^e par un processus execute sur un autre 
calculateur 434. 

La transformation du capteur vitesse 401 d'une 
architecture fonctionnelle en captexir vitesse 420 d'xme 

10 architecture materielle est symbolist par la fl^che 410. De 
meme, 1 ' intplantation de la fonction "Calcul vitesse roue" 
405 de 1 • architecture fonctionnelle sur le calculateur 434 
est symbolist par la transformation 412 . On note que le 
flot de donnees entre le capteur vitesse 401 et la fonction 

15 "Calcul vitesse roue" 405 est transform^ en un chemin 
complexe de 1 ' architecture materielle, chemin inrpliquant : 

- deux calculateurs 436 et 434 et leur connectexrcs 
respectifs 428 et 432, 

- un r^seau 430, 

20 - des liaisons filaires 422 et 426, et 

- un connecteur de faisceaiox 424. 

Une valeur particuliere A de type "court circuit" 
est associee au chemin forme des fils 422 et 426 entre le 
capteur 420 et le calculatexir 436 auquel il est rattache, 
25 cette valeur caracterisant aussi un defaut de connexion au 
niveau de I'un, au moins, des connecteurs 424 et 428. 

Une valeur particuliere B caracterisant I'etat de 
fonctionnement du calculateur 436 indique si le relai de la 
donnee "V" sur ce dit calculateur 436 peut s'effectuer dans 
30 de bonnes conditions. 

Une valeur particuliere C caracterisant I'etat de 
fonctionnement du bus 430 prend en compte 1' absence de 
transmission de la donnee "V" sur ledit bus 430. 

Les valeurs particuliere A, B, C sont, conformement a 
35 1* invention, considerees en plus de la valeur particuliere 
de V pour le diagnostic du flot de donnees entre le capteur 
de vitesse 420 et 1 ' execution de la fonction "Calcul 
vitesse roue" sur le calculateur 434 sur lequel elle est 
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Les valeiirs particuli^re A, B, C qui peuvent dtre des 
valeurs particulieres de "V" ou d'une ou plusieurs autres 
donnees, peuvent etre determines automatiquement k partir 
5 de la projection du flot de donnees sur 1 ' architecture 
mat^rielle. 

En effet, 

- les types de d^fauts entre un capteur et un calculateur 
ou entre un calculateur et un actionneur sont des 
10 d^fauts de connectique sur le chemin filaire suivi par 
la donn^e V et peuvent Stre caract^ris^s par une valeur 
particuli^re s\ir le calculateur recevant le sigixal k 
condition qu'il existe une fonction pour les 
diagnostic[uer; 

15 - les types de d^fauts lies k 1' execution d'une fonction 
sur un calculateur sont diagnostiques par ledit 
calculateur, un mode de realisation etant 1' emission 
d'une valeur particuli^re en cas d'^chec d'lon calcul de 
CRC (Cyclic Redundancy Check) ou test de redondance 
20 cyclique par exemple ou encore 1' Emission systematique 

d'une valeur part iculi ere signal ant le bon 
fonctionnement du calculateur, la valeur particuliere 
ayant alors le role d'un diagnostic de bon 
fonctionnement et 1" absence d' Emission de ladite valeur 
25 particuliere correspondent alors a une d^faut de 
fonctionnement dudit calculateur; et 
- les types de d^fauts l±6s k la transmission de donnees 
sur xm. bus sont g^n^r^s k partir d'une strat^gie de 
gestion de r6seau oil chaque calculatexir du r^seau 
30 observe les autres et interpr^te xine absence de 
reception comme une perte transitoire de connexion, ceci 
pouvant €tre caract^ris^ par une valeur particuliere. 

D^s lors, pendant I'^tape de placement, le diagnostic 
de la donnee V peut etre enrichi des valeurs particulieres 
35 A, B et C, afin d' aider k la localisation d'un eventuel 
defaut, en plus de la valeur particuliere "Vpart" provenant 
du capteur dej^ specifie avant placement dans 
1 ■ archi tectiire f onctionnelle . 
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Reciproquement , 6tant donne un diagnostic pour le mode 
de realisation de la figure 2, si une valeur particuliere 
est definie pour I'un cjuelconque des elements 420, 422, 
424, 426, 428, 436, 430 et 432, pour la consommation de la 
5 donnde V par la fonction "Calcul vitesse roue", alors on 
peut en deduire qu'il est n^cessaire de specifier au moins 
une valeur particuliere du flot de donnees V dans 
1 ' architecture f onctionnelle . 

On note que le proc6d6 ainsi d^finit s'dtend sans 

10 peine h un procddd d' analyse de surety de f onctionnement , 
1' analyse de svirete de f onctionnement pratiqu^e s\ir xme 
architecture f onctionnelle pouvant ensuite §tre raf finee au 
moment du placement de ladite architecture f onctionnelle 
sur une architecture mat^rielle. Le seul enrichissement 

15 reside en ce que dans une analyse de surete de 
f onctionnement, on considere non seulement des valeurs 
particuli^res correspondant a des defauts detectables par 
le systeme, mais on prend aussi en compte des dv^ements 
redout^s non detectes par le systeme. 

20 Cependant, ce changement de point de vue ne modifie 

pas le precede propose dans la presente invention. 

Ci-dessous, on prend I'exemple de la prestation 
acc^s a un v6hicule et on s'interesse plus particuli^rement 
k la surete de f onctionnement de la prestation en cas de 

25 "CRASH", c'est-^-dire d' accident grave d^tectd par \in 
capteur specif ique, ici un acc^lerom^tre . Dans un tel 
contexte, le cas d' utilisation que nous appellerons "CRASH" 
est: "Dans un contexte moteur toumant, si un crash est 
detect^, alors les ouvrants du v6hicule doivent se 

3 0 dever roui 1 ler d ' urgence " . On veut s ' assurer 

qu'effectivement, suite ^ un crash, les portes seront 
deverrouillees afin que les sauveteurs puissent enlever 
rapidement les passagers du v^icule, par exemple, Tous les 
ev^ements qui peuvent nuire k la bonne execution de ce cas 

35 d* utilisation sont redoutes. 

Dans la suite, on appelle pilote une fonction dediee 
k la gestion d'un capteur ou d*un actiomieur, c'est k dire 
la fonction de capture et mise en forme d'une donnee 
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provenant d'un actionneur ou la fonction de mise en forme 
d'une donnee de consigne et commande d'lan actionneur 
suivant ladite consigne. 

Pour implementer le cas du CRASH, une requete "crash 
5 detect^" est specif iee. Elle est realisee par une fonction 
appelee "crash-detecte" c[ui capture la valeur foumie par 
un accel^rometre "A" . Cette valeur est evalu^e en un bit de 
statut "a" indiquant si un choc est d6tect6. Le pilote 
logiciel de capture de 1 ' acceleration en provenance du 

10 capteur "A" est le programme "Pi", lorsgu'un Crash est 
detect^, le syst^e pas dans un 6tat que nous nommerons 
"D^verrouillage d'urgence". Dans cet dtat, la fonction 
"d^verrouillage des portes" est executee, Cette execution 
resulte en 1 • affectation d'xine donnee "d" ^ la valeur "1" 

15 lue par un pilote (programme de commande d' actionneur des 
verrous) logiciel P2 qui commande a I'ouverture les verrous 
des portes Vi. 

Le sequencement des operations en cas de crash est 
alors par exemple: 

20 - 1 * accel6rometre a detect^ \ine valeur de crash, 

le pilote PI est execute, 

la fonction qui realise la demande "crash 
detects " est evaluee, 

le bit "a" de detection du crash est mis k la 
25 valeur "1", ce qui correspond dans notre exemple ^ 

une validation du passage dans I'^tat suivant : 

le passage dans I'^tat "D6verrouillage 
d'urgence" est r6alis6, 

1' operation 616mentaire d^verrouillage des 
30 portes est activee, 

la donnee "d" est mise a la valeur "1", 
le logiciel P2 est execute, et 
les verrous Vi sont commandes en position 
d^verrouilie . 

35 Si on s ' int^resse a\ax ^venements redout^s qui 

affectent 1' operation elementaire crash- detecte-valide, on 
a par exemple : 

le capteur A est d^faillant/ et 
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PI est defaillant. 
On suppose que, pour chacune de ces def alliances , si 
elles peuvent etre diagnostiquees, les fonctions passent 
eventuellement dans ion mode de fonctionnement degrade 
5 suivant un proced^ connu. Dans le procede que nous 
presentons, la notion de passage en mode degrade, bien 
connue de I'homme du metier, n' inteorvient pas, le passage 
au niveau fonctionnel et au niveau op^rationnel 6tant 
Equivalent. Nous ne parlerons done pas de cat aspect de 
10 1' analyse de suretd de fonctionnement dans notre 
description. 

Si, maintenant, 1' operation elementaire crash- detectE- 
valide est plac6e sur ua calculateur UCH et si, d'une part, 
le capteur A est attach^ a un calculateur "Airbag", et, 
15 d' autre part, ces deiix calculateurs sont li6s par un bus de 
donn6 CAN et que la donnee A circule sur la trame T, alors 
les evenements redoutes c[ui affectent 1' operation 
616mentaire sont enrichis et deviennent : 

le capteur A est intrinsequement defaillant, 
20 - l*xm des fils ou des connecteurs entre le 

capteur A et le calculateur Airbag est en defaut 
(fil coupe, defaut de connectique, . . . ) , 

I'un des autres fils et connecteurs liant le 
capteur A aux autres calculateurs est en defaut et 
25 crde un defaut du capteur A, 

1* execution de Pi est d6faillante, 
le calculatevir Airbag sur lequel PI s' execute 
est en defaut, 

le bus CAN est coupE, 
30 - la trame T ne circule pas suite k un defaut du 

pilot e CAN sur 1 'Airbag, 

la trame T n^est pas lue correctement par le 
calculateur habitacle, et 

le calculateur habitacle est en defaut. 
35 Suivant un autre placement, d* autres dv^ements 

correspondant aux nouveaux calculateurs et reseaux et 
el^ents de connectique impliques sont specifies. 

On peut done, lors de la description de la prestation. 
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specifier iin ensemble d * 6venements s'appliquant aux 
captexirs, actionneurs, pilotes, donndes, operations 
^lementaires . Lorsque le placement est realise, le 
placement sur des calculateiirs connectes par des reseaux 
5 permet d'enrichir automatiquement la description des 
passages en modes d6grad6s ou des propagations de defaut en 
prenant en corapte : 

pour un capteur ou un actionneur, 1' ensemble 
des ddfauts pour chague fil, et chaque connecteur 
10 liant ce capteur ou cet actionnexir aux diff^rents 

calculateurs et masses, 

pour un pilote, un defaut d' execution logiciel 
ou un defaut de la plate- forme sur laquelle il est 
plac6, 

15 - pour une donn^e si elle circule sur un r^seau, 

lane coupxire du reseau, 

pour une donnee si elle circule dans une 
trame, un defaut de la trame, 

pour une donnee si elle circule sur vin 
20 calculateur passerelle entre deux reseaux, un 

defaut du calculateur, et 

pour une operation el^entaire, von defaut 
d' execution logiciel ou un defaut du calculateur 
sur lequel est place 1' operation 6l6naentaire. 
25 L* ensemble des types de defaut ainsi que les 

composants auxquels ces types de defaut peuvent s'appliguer 
sont renseignes dans une base de donnee. Les 
enrichissements des ev6nements suite au placement sont 
ainsi realises automatiquement. 
30 Ce precede peut §tre mis en oeuvre k I'aide d'un outil 

informatique permettant 1' edition des diff6rents objets 
necessaires a la conception et 1 * automatisation partielle 
des diff^rentes Stapes du proc6d^ constitu6 par 
1 ' invention . 

35 Le proced^ peut coiirprendre une 6tape d* analyse de la 

faisabilit^ et/ou faillibilite de f onctionnement dudit 
architecture et de la etablissement d'une sortie indiquant 
ladite faisabilit^ et/ou faillibilite. L* architecture peut 
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comporter \m architecture pour ^quiper vn v^icule, par 
exenqple une voiture ou une camioimette. 

Le proc6d6 de 1' invention peut §tre programme sur un 
article de commerce comportant une memoire lisible par xm 
5 ordinateur, par exemple un CD, DVD ou Equivalent ou sur le 
disque dur d'un ordinateur. Un tel programme pour le 
precede sera executable par un ordinateur, et sera 
enregistrE sur ladite memoire pour toe execute par ledit 
ordinateur . 
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REVEMDICATIONS 

1. Proc^d^ de diagnostic de d^fauts de 
fonctionnement d'une architectiore fonctionnelle composee 
d'\an ensemble de fonctions li^es a des coniposants 

5 6lectroniques (A^i,. d^i.;XSCEn;B) , produisant et consommant 
des donn^es, au moins une desdites donn^es (xi) etant 
susceptible de prendre une valeur particuli^re (Xip) 
pred^termin^e, cons^cutivement ^ 1* apparition d'un d^faut 
de fonctionnement de I'un au moins des coraposants {P^i, 

10 C^i;UCEn;B) dudit ensenible, ce proc6d6 6tant caract^ris^ en 
ce que, 6tant doim6 un ensemble de fonctions, r6alisant une 
prestation, dont les donn^es d' entries et de sorties 
peuvent etre li^es k des capteurs ou des actionneurs, il 
coitvporte : 

15 i) line 6tape de determination de valeurs particulidres 

au cours de laquelle on liste les valeurs particuli^res 
correspondant k des d^fauts de fonctionnement des capteurs 
et des actionneiars , 

ii) une 6tape de determination de propagation au cours 
20 de laquelle on liste les valeurs particulieres permettant 

la propagation de 1 ' information relative a ces d^fauts k 
travers les dites fonctions, 

iii) lane 6tape de diagnostic au cours de laquelle on 
forme le diagnostic fonctionnel de ladite prestation en 

25 fonction des listes issues des Stapes de determination, et 

iv) une 6tape d' enregistrement des valeurs 
particulieres et de leur propagation sur un moyen de 
memorisation pour un outil prevu pour la validation de 
ladite architecture. 

30 

2. Precede de diagnostic selon le revendication 1, 
caracterise en ce qu'apris l-etape (iii) de diagnostic 
fonctionnel, etant donne le choix d'un mode de realisation 
se traduisant par 
35 - line architecture materielle constituee de 
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calculatexors , r^seaojx, liaisons filaires et 
connectexxrs, et 

le placement des fonctions snr ladite 
architecture mat6rielle. 
5 on liste les valeurs particulieres selon le proc6de de 

la revendication 1 afin de deduire ion diagnostic 
operationnel de 1 ' architecture electronique r^sultante. 

3 . Proc6d6 de diagnostic selon les revendications 1 ou 
10 2, caracteris^ en ce que les valeurs particulieres sont 

classifiees apr^s placement des fonctions sur ladite 
architecture mat^rielle. 

4. Precede de diagnostic selon la revendication 3, 
15 caract6ris6 en ce que les valeurs particulieres sont 

classifiees parmi au moins une des classes suppl^entaires 
suivantes : 

bus coup6, 
trame corrompue, 
20 - court-circuit appliqu^ a un fil, 

faiax contact appliqu6 ^ un connecteur de 
toron, de capte\ir, d'actionneur ou de 
calculateur, et 

d^faut d' execution appliqu^ k un micro- 
2 5 cont r 6 1 eur . 

5. Precede selon les revendications 1^4, caract6ris6 
en ce que 6tant donn6 un diagnostic operationnel, pour une 
prestation, ayant list6 les vale\irs paxticuli^res 

30 fonctionnelles relevant des capteurs, actionneurs et 
fonctions rdalisant ladite prestation, pour au moins un 
flot de donn^es entre de\ax fonctions, ou entre un capteur 
et une fonction, ou entre une fonction et un actionneur, 
pour lequel aucune valeur particuli^re fonctionnelle n'est 

35 d6finie, si une valeur particuli^re op6rationnelle est 
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definie, alors on determine automat iquement une valenr 
particuliere f onctionnelle nouvelle pour ce flot. 

6. Procede selon les revendi cations 1 a 5, caracterise 
5 en ce cjue on liste les ^venements redout es non 
diagnostiques et les ^v^ements redoutes non 
diagnosticables pour fomer xine analyse de sOxet^ de 
fonctionnement d'une architecture f onctionnelle. 

10 7 Precede selon les revendi cations 1^5, caracterise 

en ce que, 6tant donn6 le choix d*un mode de realisation se 
traduisant par 

- une architecture mat^rielle constitute de 
calculateurs, r6seaux/ liaisons filaires et 
15 connecteurs , 

- et le placement des fonctions sur ladite 
architecture mattrielle, 
on liste les valeurs particulieres et evenements redoutes 
selon le procede de la revendi cation 6 afin de deduire une 
20 analyse de surety de fonctionnement f onctionnelle de 
1 ' architecture f onctionnelle rtsultante. 

8. Procede de diagnostic selon I'lme quelconque des 
revendications 1 k 7, caracttrist en ce que ledit 

25 architecture comport e un architecture pour tquiper un 
vthicule. 

9. Procedt de diagnostic selon I'une quelconque des 
revendications 1 a 8, caracterist en ce qu'il coraprend une 

30 6tape d' analyse de la faisabilite et/ou faillibilitt de 
fonctionnement dudit architecture et de la etablissement 
d*une sortie indiquant ladite faisabilitt et/ou 
faillibilitt. 



35 
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10. Un article de commerce comportant une memoire 
lisible par un ordinateur, un programme executable par un 
ordinateur 6tant enregistr^ sur ladite memoire pour le 
diagnostic de d^fauts de fonctionnement d'une architecture 
5 fonctionnelle, caract6ris6 en ce que ledit programme inclut 

un codage pour: 

i) determiner et lister des valeurs particulidsres 
correspondent k des d^fauts de fonctionnement des capteurs 
et des actionneurs, 
10 ii) determiner et lister les valeurs particuli^res 

permettant la propagation de 1 • information relative b. ces 
d6fauts k travers ladite architecture fonctionnelle, 

iii) former le diagnostic fonctionnel de ladite 
prestation en fonction des listes issues des Stapes (i) et 

15 (ii) et 

iv) enregistrer lesdites valeurs particulieres et leur 
propagation sur ^m moyen de memorisation pour un outil 
pr6vu pour la validation de ladite architecture. 



20 



11. Un outil informatique programme po\ir le diagnostic 
de defauts de fonctionnement d'une architecture 
fonctioimelle utilisant des etapes du precede selon I'une 
quelconque des revendications 1 a 9 ou programme en 
utilisant xm. article de commerce selon la revendication 10. 
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